RHEL 6.5でOpenSSLをアップグレードする際に問題があります。このライブラリはOpenSSLにはありませんlibcrypto.so.10
。代わりにopenssl 1.0.1j
作成されたライブラリはですlibcrypto.so.1.0.0
。ソフトリンクを作成しましたが、それでも他の用途では機能しませんlibcrypto.so.10
。
この問題の経験がある人はいますか?
説明(付録/編集):多くの人がOpenSSLの最新(2014.10.15)「POODLE」の脆弱性をエスケープするためにOpenSSLパッケージで直接1.0.1jバージョンを使用したいので、これは必須情報です。この時点でopenssl.orgからtar.gzファイルを取得することは問題ありません。これは以前も問題になっており、出版物が他のサイトにまだ存在する可能性があるため、openssl.orgの外のファイルを削除しないでください。 openssl ダウンロード。
アップデートがサーバーでこれらの接続を許可したときに発生するサーバーの問題を完全に解決することはできません。この追加の脆弱性の議論は、以下で確認できます。 us-cert.govのNCAS部門
より回答EL6とEL7でRed HatベースのRPMを使用する方法について説明します。
/usr/lib
32ビットと/usr/lib64
64ビットのディレクトリを見ると、レイアウトは次のようになります。
- libcrypto.a
- libcrypto.so - > libcrypto.so.1.0.1j
- libcrypto.so.10 - > libcrypto.so.1.0.1j
- libcrypto.so.1.0.1j
- .libcrypto.so.1.0.1j.hmac
- .libcrypto.so.10.hmac -> .libcrypto.so.1.0.1j.hmaclibssl.a
- libssl.so - > libssl.so.1.0.1j
- libssl.so.10 - > libssl.so.1.0.1j
- libssl.so.1.0.1j
- .libssl.so.1.0.1j.hmac
- .libssl.so.10.hmac -> .libssl.so.1.0.1j.hmac
openssl
libサブディレクトリとlibもありますが、package
これは決して問題ではありませんでした。
答え1
RPMはRHEL [6 | 7]およびその兄弟製品(CentOSなど)用にリリースされており、ほとんどのリポジトリでyum経由で利用できます。
これらのRPMはいくつかの「POODLE」の脆弱性を解決します。
- CVE-2014-3567、
- CVE-2014-3566と
- CVE-2014-3513
望むより: 証明書ネットワーク
セキュリティアップデート確かに一部の特定のSSLv3の問題を解決するため、サーバーを更新する場合は、クライアントがこのプロトコル(特にCBC方式)を使用して接続する可能性を排除する必要があります。
次の方法でサーバー構成からSSL3を削除するのは非常に簡単です。
NGINX/エンジン:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
構成セクションでhttp
追加/交換- 「サーバー」セクションで、「ssl_protocols」ディレクティブがオーバーライドされていないことを確認してください。
サーバーディレクティブが見つかったら、削除して「HTTP」に管理してください。とにかくそうしなければなりません。
Apache:
SSLProtocol All -SSLv2 -SSLv3
グローバルSSL設定セクションで追加/交換- Nginxと同様に、Webホストを確認してください。
以前のOpenSSL混乱と同様に、最新のOpenSSLバージョン番号(1.0.1j)と一致するように新しいRPM番号をリリースしませんでしたが、代わりにリリースの最後の範囲である1.0.1eにパッチを.rpm
バックポートしました。.rpm
RHELディストリビューション)で、現在は1.0.1e-30.[variable by specific machine version]
。
したがって、CentOS 6 64ビットを例にすると、.rpm
次のようになりますopenssl-1.0.1e-30.el6_5.2.x86_64.rpm
。
OpenSSLアップデートと同様に、OpenSSLを使用するすべてのエントリ(Webサーバー、VPNなど)はサーバーから再起動するまで更新が適用されます。
答え2
wget http://www.openssl.org/source/openssl-1.0.1j.tar.gz
tar -xvf openssl-1.0.1j.tar.gz
cd openssl-1.0.1j
./config --prefix=/usr no-threads shared
make
make test
make install
openssl version